Edición provisional
CONCLUSIONES DE LA ABOGADA GENERAL
SRA. LAILA MEDINA
presentadas el 29 de junio de 2023(1)
Asunto C‑61/22
RL
contra
Landeshauptstadt Wiesbaden
[Petición de decisión prejudicial planteada por el Verwaltungsgericht Wiesbaden (Tribunal de lo Contencioso-Administrativo de Wiesbaden, Alemania)]
«Procedimiento prejudicial — Reglamento (UE) 2019/1157 — Refuerzo de la seguridad de los documentos de identidad de los ciudadanos de la Unión — Artículo 3, apartado 5 — Obligación de recoger impresiones dactilares e incluirlas en un medio de almacenamiento de alta seguridad — Validez — Base jurídica — Artículo 21 TFUE, apartado 2 — Artículo 77 TFUE, apartado 3 — Carta de los Derechos Fundamentales de la Unión Europea — Artículos 7 y 8 — Respeto de la vida privada y familiar — Protección de datos de carácter personal — Artículo 52, apartado 1 — Principio de proporcionalidad — Reglamento General de Protección de Datos — Artículo 35, apartado 10 — Evaluación de impacto relativa a la protección de datos»
I. Introducción
1. La presente petición de decisión prejudicial guarda relación con la validez del artículo 3, apartado 5, del Reglamento (UE) 2019/1157, (2) que establece la obligación de incluir, en un medio de almacenamiento de alta seguridad, una imagen de las impresiones dactilares del titular en todo documento de identidad nuevo que los Estados miembros expidan. (3) Esta petición se ha planteado en el contexto de un litigio entre RL y el Landeshauptstadt Wiesbaden (ciudad de Wiesbaden, capital del estado federado de Hesse, Alemania) relativo a la decisión administrativa del Landeshauptstadt de no expedir un documento de identidad sin almacenar una imagen de impresiones dactilares en su chip.
2. Mediante su petición de decisión prejudicial, el órgano jurisdiccional remitente solicita que se determine, en primer lugar, si el artículo 21 TFUE, apartado 2, constituye una base jurídica apropiada para la adopción del Reglamento 2019/1157; en segundo lugar, si el artículo 3, apartado 5, de ese Reglamento es compatible con los artículos 7 y 8 de la Carta de los Derechos Fundamentales de la Unión Europea (en lo sucesivo, «Carta»), en relación con su artículo 52, apartado 1, y, en tercer lugar, si el citado Reglamento es conforme con la obligación de realizar una evaluación de impacto relativa a la protección de datos con arreglo al artículo 35, apartado 10, del RGPD. (4)
3. Salvando las diferencias que existen entre los documentos de identidad y los pasaportes, el presente asunto constituye una prolongación de la sentencia Schwarz. (5) En esa sentencia, el Tribunal de Justicia examinó la validez del artículo 1, apartado 2, del Reglamento (CE) n.º 2252/2004, (6) que contempla la recogida obligatoria de impresiones dactilares y su conservación en pasaportes y otros documentos de viaje expedidos por los Estados miembros. (7)
II. Marco jurídico
A. Derecho de la Unión
1. Reglamento 2019/1157
4. Los considerandos 1, 2, 3, 4, 5, 15, 17, 18, 21 y 28 del Reglamento 2019/1157 disponen lo siguiente:
«(1) El Tratado de la Unión Europea (TUE) resolvió facilitar la libre circulación de personas, garantizando al mismo tiempo la seguridad y la protección de los pueblos de Europa, mediante el establecimiento de un espacio de libertad, seguridad y justicia, de conformidad con sus disposiciones y las del Tratado de Funcionamiento de la Unión Europea (TFUE).
(2) La ciudadanía de la Unión confiere a todo ciudadano de la Unión el derecho a la libre circulación, con sujeción a determinadas limitaciones y condiciones. La [Directiva 2004/38/CE] [(8)] da efecto a ese derecho. El artículo 45 de la [Carta] establece asimismo la libertad de circulación y residencia. La libertad de circulación implica el derecho de salida y entrada en los Estados miembros con un documento de identidad o pasaporte válidos.
(3) De conformidad con la [Directiva 2004/38], los Estados miembros expedirán o renovarán a sus ciudadanos, de acuerdo con su Derecho nacional, un documento de identidad o un pasaporte. […]
(4) La [Directiva 2004/38] establece que los Estados miembros adoptarán las medidas necesarias para denegar, extinguir o retirar cualquier derecho conferido por esa Directiva en caso de abuso de Derecho o fraude. La falsificación de documentos o la presentación falsa de un hecho material referente a las condiciones vinculadas al derecho de residencia son casos típicos de fraude en el marco de la Directiva.
(5) Existen diferencias considerables entre los niveles de seguridad de los documentos de identidad nacionales expedidos por los Estados miembros y de los permisos de residencia de los ciudadanos de la Unión y los miembros de sus familias que residen en otro Estado miembro. Esas diferencias incrementan el riesgo de falsificación y fraude documental y provocan, además, dificultades prácticas para los ciudadanos cuando desean ejercer su derecho a la libre circulación.
[…]
(15) […] La mejora de los documentos de identidad debe garantizar una mejor identificación y contribuir a un mejor acceso a los servicios.
[…]
(17) Las medidas de seguridad son necesarias para verificar si un documento es auténtico y para comprobar la identidad de una persona. El establecimiento de normas mínimas de seguridad y la integración de datos biométricos en los documentos de identidad […] son pasos importantes para hacer más seguro su uso en la Unión. La inclusión de este tipo de identificadores biométricos debe permitir que los ciudadanos de la Unión se beneficien plenamente de sus derechos de libre circulación.
(18) El almacenamiento de una imagen facial y dos impresiones dactilares (en lo sucesivo, “datos biométricos”) en los documentos de identidad y tarjetas de residencia, como ya se contempla para los pasaportes biométricos y los permisos de residencia para ciudadanos de terceros países, es un método apropiado para combinar una identificación y una autenticación fiables con un riesgo reducido de fraude, con el fin de abordar adecuadamente el objetivo de reforzar la seguridad de los documentos de identidad y las tarjetas de residencia.
[…]
(21) El presente Reglamento no establece una base jurídica para crear o mantener bases de datos a nivel nacional para el almacenamiento de datos biométricos en los Estados miembros, pues se trata de una cuestión de Derecho nacional que tiene que cumplir con el Derecho de la Unión en materia de protección de datos. Asimismo, el presente Reglamento no establece una base jurídica para la creación o el mantenimiento de una base de datos centralizada a nivel de la Unión.
[…]
(28) La introducción de normas mínimas en materia de seguridad y de formato de los documentos de identidad debe permitir a los Estados miembros confiar en la autenticidad de dichos documentos cuando los ciudadanos de la Unión ejerzan su derecho de libre circulación. La introducción de normas reforzadas de seguridad debe proporcionar garantías suficientes a las autoridades públicas y a las entidades privadas que les permitan confiar en la autenticidad de los documentos de identidad cuando los utilicen los ciudadanos de la Unión a efectos de identificación.»
5. El artículo 1 del Reglamento 2019/1157, que lleva por título «Objeto», tiene el siguiente tenor:
«El presente Reglamento refuerza las normas de seguridad aplicables a los documentos de identidad expedidos por los Estados miembros a sus nacionales […] en el ejercicio de su derecho a la libre circulación.»
6. Según el artículo 3 del Reglamento 2019/1157, titulado «Normas de seguridad, formato y especificaciones»:
«1. Los documentos de identidad expedidos por los Estados miembros se elaborarán en formato ID-1 e incluirán una zona de lectura mecánica. Se basarán en las especificaciones y en las normas mínimas de seguridad establecidas en el documento 9303 de la OACI y cumplirán los requisitos definidos en las letras c), d), f) y g) del anexo del Reglamento (CE) n.º 1030/2002, en su versión modificada por el Reglamento (UE) n.º 2017/1954.
[…]
5. Los documentos de identidad incluirán un medio de almacenamiento de alta seguridad que contendrá una imagen facial del titular del documento y dos impresiones dactilares en formatos digitales interoperables. Para la captura de identificadores biométricos, los Estados miembros aplicarán las especificaciones técnicas definidas en la Decisión de Ejecución C(2018) 7767 de la Comisión. [(9)]
6. El medio de almacenamiento deberá tener capacidad suficiente y garantizará la integridad, la autenticidad y la confidencialidad de los datos. Los datos almacenados serán accesibles en formato sin contacto y seguro, de conformidad con lo dispuesto en la Decisión C(2018) 7767. Los Estados miembros intercambiarán la información necesaria para autenticar el medio de almacenamiento y comprobar los datos biométricos a que se refiere el apartado 5.
7. Los menores de doce años podrán estar exentos de la obligación de facilitar las impresiones dactilares.
Los menores de seis años estarán exentos de la obligación de facilitar las impresiones dactilares.
Las personas a las que sea físicamente imposible tomar las impresiones dactilares quedarán exentas del requisito de facilitarlas.
[…].»
7. A tenor del artículo 10 del Reglamento 2019/1157, titulado «Recogida de los identificadores biométricos»:
«1. Los identificadores biométricos serán recogidos exclusivamente por personal cualificado y debidamente autorizado designado por las autoridades responsables de la expedición de los documentos de identidad o las tarjetas de residencia con el fin de integrarlos en el medio de almacenamiento de alta seguridad a que se refiere el artículo 3, apartado 5, para los documentos de identidad […]
Con objeto de garantizar la coherencia de los identificadores biométricos con la identidad del solicitante, este deberá comparecer en persona por lo menos una vez durante el proceso de expedición para cada solicitud.
2. Los Estados miembros garantizarán que se establezcan procedimientos adecuados y eficaces para la recogida de identificadores biométricos, que respeten los derechos y principios establecidos en la Carta, en el Convenio para la Protección de los Derechos Humanos y las Libertades Fundamentales y en la Convención de las Naciones Unidas sobre los Derechos del Niño.
[…]
3. Además de cuando sea necesario para fines de tratamiento acorde con el Derecho de la Unión y nacional, los identificadores biométricos almacenados a fines de personalización de los documentos de identidad o de los documentos de residencia deben mantenerse de manera extremamente segura y solo hasta la fecha de recogida del documento y, en cualquier caso, no más de 90 días después de la fecha de expedición del documento. Superado este período, dichos identificadores biométricos deben ser suprimidos o destruidos inmediatamente.»
8. De conformidad con el artículo 11 del Reglamento 2019/1157, titulado «Protección de datos personales y responsabilidad»:
«1. Sin perjuicio de lo dispuesto en el [RGPD], los Estados miembros garantizarán la seguridad, integridad, autenticidad y confidencialidad de los datos recogidos y almacenados a efectos del presente Reglamento.
2. A efectos del presente Reglamento, las autoridades responsables de expedir documentos de identidad y documentos de residencia se considerarán como el responsable a tenor del artículo 4, punto 7, del [RGPD] y serán responsables del tratamiento de los datos personales.
3. Los Estados miembros se asegurarán de que las autoridades de supervisión puedan ejercer plenamente sus funciones de conformidad con el [RGPD], incluido el acceso a todos los datos personales y a toda la información necesaria, así como el acceso a cualquier local o equipo de tratamiento de datos de las autoridades competentes.
[…]
5. Los datos legibles mecánicamente solamente se incluirán en un documento de identidad […] de conformidad con el presente Reglamento y con el Derecho nacional del Estado miembro de expedición.
6. Los datos biométricos almacenados en el medio de almacenamiento de los documentos de identidad y de los documentos de residencia solo se utilizarán de conformidad con la legislación nacional y de la Unión, por parte de personal debidamente autorizado de las autoridades nacionales competentes y de las agencias de la Unión, a fin de verificar:
a) la autenticidad del documento de identidad o del documento de residencia;
b) la identidad del titular mediante características comparables accesibles directamente, cuando las leyes exijan la presentación del documento de identidad o del documento de residencia.
[…].»
2. RGPD
9. El artículo 6 del RGPD, titulado «Licitud del tratamiento», tiene la siguiente redacción:
«1. El tratamiento solo será lícito si se cumple al menos una de las siguientes condiciones:
[…]
c) el tratamiento es necesario para el cumplimiento de una obligación legal aplicable al responsable del tratamiento;
d) el tratamiento es necesario para proteger intereses vitales del interesado o de otra persona física;
e) el tratamiento es necesario para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento;
[…].»
10. Según el artículo 35 del RGPD, titulado «Evaluación de impacto relativa a la protección de datos»:
«1. Cuando sea probable que un tipo de tratamiento, en particular si utiliza nuevas tecnologías, por su naturaleza, alcance, contexto o fines, entrañe un alto riesgo para los derechos y libertades de las personas físicas, el responsable del tratamiento realizará, antes del tratamiento, una evaluación del impacto de las operaciones de tratamiento en la protección de datos personales. Una única evaluación podrá abordar una serie de operaciones de tratamiento similares que entrañen altos riesgos similares.
[…]
10. Cuando el tratamiento de conformidad con el artículo 6, apartado 1, letras c) o e), tenga su base jurídica en el Derecho de la Unión o en el Derecho del Estado miembro que se aplique al responsable del tratamiento, tal Derecho regule la operación específica de tratamiento o conjunto de operaciones en cuestión y ya se haya realizado una evaluación de impacto relativa a la protección de datos como parte de una evaluación de impacto general en el contexto de la adopción de dicha base jurídica, los apartados 1 a 7 no serán de aplicación excepto si los Estados miembros consideran necesario proceder a dicha evaluación previa a las actividades de tratamiento.»
3. Directiva 2004/38
11. De conformidad con el artículo 4 de la Directiva 2004/38, titulado «Derecho de salida»:
«1. Sin perjuicio de las disposiciones que regulan los documentos de viaje en controles fronterizos nacionales, todo ciudadano de la Unión en posesión de un documento de identidad o un pasaporte válidos y los miembros de su familia que no sean nacionales de un Estado miembro y que estén en posesión de un pasaporte válido, tendrán derecho a salir del territorio de un Estado miembro para trasladarse a otro Estado miembro.
[…].»
12. El artículo 5 de la Directiva 2004/38, que lleva por título «Derecho de entrada», establece lo siguiente:
«1. Sin perjuicio de las disposiciones que regulan los documentos de viaje en controles fronterizos nacionales, los Estados miembros admitirán en su territorio a todo ciudadano de la Unión en posesión de un documento de identidad o un pasaporte válidos y a los miembros de su familia que no sean nacionales de un Estado miembro y que estén en posesión de un pasaporte válido.
[…].»
B. Derecho nacional
13. La Gesetz über Personalausweise und den elektronischen Identitätsnachweis (Ley de documentos de identidad y del documento de identidad electrónico) (10) transpone al Derecho alemán la obligación establecida en el artículo 3, apartado 5, del Reglamento 2019/1157.
14. El artículo 1, apartado 1, de la PAuswG, titulado «Deber de identificación y derecho de identificación», dispone:
«Los ciudadanos alemanes en el sentido del artículo 116, apartado 1, de la Constitución deberán estar en posesión de un documento de identidad cuando cumplan los 16 años de edad y queden sujetos al requisito general de registro o, si no están sujetos a ese requisito, si residen fundamentalmente en Alemania. Deberán exhibir su documento de identidad cuando una autoridad competente para comprobar la identidad se lo requiera. Los titulares de documentos de identidad no pueden ser obligados a depositar sus documentos ni ser privados de su posesión. Lo anterior no será de aplicación en lo que respecta a autoridades competentes para comprobar la identidad o en caso de retirada o confiscación.»
15. El artículo 5, apartado 9, de la PAuswG, titulado «Expedición del documento de identidad», tiene la siguiente redacción:
«Las dos impresiones dactilares del solicitante que, de conformidad con el [Reglamento 2019/1157], deben incluirse en el medio de almacenamiento electrónico, se almacenarán en forma de impresión plana de los dedos índices izquierdo y derecho en el soporte electrónico de almacenamiento y tratamiento del documento de identidad. En ausencia de un dedo índice o en caso de calidad insuficiente de la impresión dactilar o de lesión en la yema de un dedo, se almacenará en su lugar una impresión plana del dedo pulgar, del dedo corazón o del dedo anular. No se conservarán impresiones dactilares cuando tomarlas resulte imposible por razones médicas que no sean de carácter temporal.»
III. Hechos del litigio principal y cuestión prejudicial
16. En noviembre de 2021, RL solicitó ante la ciudad de Wiesbaden la expedición de un nuevo documento de identidad, alegando que el chip de su antiguo documento de identidad se había deteriorado. En su solicitud, RL pidió expresamente que su documento se expidiera sin incluir en el chip de este una imagen de sus impresiones dactilares.
17. La ciudad de Wiesbaden rechazó la solicitud de RL al considerar, en primer lugar, que conforme al Derecho alemán, el documento de identidad sigue siendo válido aunque el chip esté deteriorado. Como RL ya estaba en posesión de un documento de identidad válido, no tenía derecho a que se le expidiera uno nuevo. En segundo lugar, el Municipio de Wiesbaden entendió que, en cualquier caso, no se podía expedir un documento de identidad sin la imagen de la impresión dactilar del titular, toda vez, desde el 2 de agosto de 2021, el artículo 5, apartado 9, de la PAuswG obligaba a almacenar una imagen de la impresión dactilar en el chip de los nuevos documentos de identidad.
18. RL presentó una demanda ante el Verwaltungsgericht Wiesbaden (Tribunal de lo Contencioso-Administrativo de Wiesbaden, Alemania), órgano jurisdiccional remitente en el presente asunto, solicitando que se ordenara a la autoridad competente que le expidiera un nuevo documento de identidad sin almacenar en él una imagen de sus impresiones dactilares.
19. El órgano jurisdiccional remitente alberga dudas sobre la validez del artículo 3, apartado 5, del Reglamento 2019/1157, que constituye la base del artículo 5, apartado 9, de la PAuswG y, por lo tanto, sobre el carácter obligatorio de la recogida y almacenamiento de impresiones dactilares en los documentos de identidad alemanes. A este respecto, dicho órgano jurisdiccional recuerda que, de conformidad con el artículo 3, apartado 5, del Reglamento 2019/1157, los documentos de identidad expedidos por los Estados miembros deben incluir un medio de almacenamiento de alta seguridad que contendrá una imagen facial del titular del documento y dos impresiones dactilares en formatos digitales interoperables.
20. En particular, el órgano jurisdiccional remitente alude a tres motivos de invalidez del artículo 3, apartado 5, del Reglamento 2019/1157.
21. En primer lugar, el órgano jurisdiccional remitente se pregunta si el Reglamento 2019/1157 no debería haber sido adoptado sobre la base del artículo 77 TFUE, apartado 3, que contempla la aplicación de un procedimiento legislativo especial con arreglo al cual el Consejo se pronuncia por unanimidad, en lugar de sobre la base del artículo 21 TFUE, apartado 2, en cuya virtud se aplica el procedimiento legislativo ordinario, que implica la codecisión del Parlamento Europeo y del Consejo de la Unión Europea. El órgano jurisdiccional remitente destaca que en la sentencia Schwarz, el Tribunal de Justicia consideró que el artículo 62 CE, número 2, letra a), es decir, la disposición que posteriormente pasó a ser el artículo 77 TFUE, apartado 3, constituía una base jurídica apropiada para la adopción del Reglamento n.º 2252/2004, que establece la recogida obligatoria de impresiones dactilares de los ciudadanos de la Unión y su almacenamiento en los pasaportes. Ese órgano jurisdiccional se pregunta, en consecuencia, si debería haberse recurrido a la misma base jurídica para adoptar el Reglamento 2019/1157.
22. En segundo lugar, el órgano jurisdiccional remitente duda de la compatibilidad del artículo 3, apartado 5, del Reglamento 2019/1157 con los artículos 7 y 8 de la Carta. Ese tribunal señala que la recogida obligatoria de impresiones dactilares y su almacenamiento en los documentos de identidad constituye una limitación de los derechos reconocidos en esas dos disposiciones, a la luz de lo dispuesto en la sentencia Schwarz. Además, en su opinión, esa limitación no cumple los requisitos previstos en los artículos 8, apartado 2, y 52, apartado 1, de la Carta y carece, por tanto, de justificación. Más concretamente, el órgano jurisdiccional remitente pregunta si el artículo 3, apartado 5, del Reglamento 2019/1157 persigue un interés legítimo y si la obligación que se deriva de esa disposición puede considerarse apropiada, necesaria y proporcionada.
23. En tercer lugar, el órgano jurisdiccional remitente manifiesta su preocupación en cuanto a la obligación de realizar una evaluación de impacto relativa a la protección de datos, establecida en el artículo 35, apartado 10, del RGPD. En particular, dicho tribunal observa, remitiéndose al dictamen del Supervisor Europeo de Protección de Datos sobre la propuesta de un Reglamento, (11) que esa disposición se aplica al tratamiento de impresiones dactilares previsto en el Reglamento 2019/1157. Sin embargo, el legislador de la Unión no llevó a cabo esa evaluación cuando adoptó el Reglamento.
24. En tales circunstancias, el Verwaltungsgericht Wiesbaden (Tribunal de lo Contencioso-Administrativo de Wiesbaden) decidió suspender el procedimiento y plantear al Tribunal de Justicia la siguiente cuestión prejudicial:
«La obligación de tomar y conservar impresiones dactilares en los documentos de identidad con arreglo al artículo 3, apartado 5, del [Reglamento 2019/1157], ¿es contraria a disposiciones del Derecho de la Unión de rango superior, en particular:
a) al artículo 77 TFUE, apartado 3
b) a los artículos 7 y 8 de la Carta
c) al artículo 35, apartado 10, del RGPD
y, por ende, es inválida por alguno de [esos] motivos?»
25. La petición de decisión prejudicial se presentó en la Secretaría del Tribunal de Justicia el 1 de febrero de 2022. Han presentado observaciones escritas los Gobiernos alemán, español y polaco, el Parlamento, el Consejo, la Comisión Europea y el demandante en el litigio principal. Se celebró una vista el 14 de marzo de 2023.
IV. Apreciación
26. Mediante su cuestión prejudicial, el órgano jurisdiccional remitente solicita que se determine si el Reglamento 2019/1157 es válido a la luz del Derecho de la Unión. En particular, pregunta:
– en primer término, si el artículo 21 TFUE, apartado 2, constituye una base jurídica adecuada para la adopción del Reglamento 2019/1157, en concreto, de su artículo 3, apartado 5, de conformidad con el procedimiento legislativo ordinario mencionado en esa disposición;
– en segundo término, si el artículo 3, apartado 5, del Reglamento 2019/1157 es compatible con los artículos 7 y 8 de la Carta, en relación con su artículo 52, apartado 1, y,
– en tercer término, si el artículo 3, apartado 5, del Reglamento 2019/1157 es conforme a la obligación de realizar una evaluación de impacto relativa a la protección de datos con arreglo al artículo 35, apartado 10, del RGPD.
27. Examinaré cada uno de esos motivos de invalidez de forma sucesiva.
A. Base jurídica para la adopción del Reglamento 2019/1157
28. El primer motivo de invalidez guarda relación con la base jurídica para la adopción del Reglamento 2019/1157. En esencia, el órgano jurisdiccional remitente se pregunta si ese Reglamento debería haber sido adoptado sobre la base del artículo 77 TFUE, apartado 3, en lugar de sobre la base del artículo 21, apartado 2, de ese mismo Tratado. Más allá de la elección, desde un punto de vista formal, de la base jurídica adecuada del Reglamento 2019/1157, subyace la cuestión del procedimiento legislativo alternativo que se aplica con arreglo a cada una de esas disposiciones.
29. El artículo 21 TFUE está incluido en la Segunda Parte de ese Tratado, dedicada a la «No discriminación y ciudadanía de la Unión». En el apartado 1, dicho artículo dispone que todo ciudadano de la Unión debe tener derecho a circular y residir libremente en el territorio de los Estados miembros, con sujeción a las limitaciones y condiciones previstas en los Tratados y en las disposiciones adoptadas para su aplicación. Por su parte, el artículo 21 TFUE, apartado 2, establece la posibilidad de que la Unión adopte disposiciones destinadas a facilitar el ejercicio de ese derecho cuando una acción de la Unión resulte necesaria para alcanzar tal objetivo y a menos que los Tratados hayan previsto los poderes de acción al respecto. En ese supuesto, se aplica el procedimiento legislativo ordinario, que implica la codecisión del Parlamento y del Consejo.
30. En cambio, el artículo 77 TFUE, apartado 3, que guarda relación con las «Políticas sobre controles en las fronteras, asilo e inmigración» figura en el título V, de la Tercera Parte de ese mismo Tratado, dedicado al «Espacio de libertad, seguridad y justicia». Esa disposición establece que, si resulta necesaria una acción de la Unión para facilitar el ejercicio del derecho, establecido en el artículo 20 TFUE, apartado 2, letra a), (es decir, del derecho de circular y residir libremente en el territorio de los Estados miembros), el Consejo podrá establecer disposiciones relativas, entre otras cosas, a los pasaportes y documentos de identidad. La aplicación del artículo 77 TFUE, apartado 3, también depende, conforme a su tenor, de que los Tratados no hayan previsto poderes de actuación a tal efecto. En ese caso, se aplica un procedimiento legislativo especial, en el que el Consejo se pronuncia por unanimidad previa consulta al Parlamento.
31. Según reiterada jurisprudencia del Tribunal de Justicia, la elección de la base jurídica de un acto de la Unión debe fundarse en elementos objetivos susceptibles de control judicial, entre los que figuran la finalidad y el contenido de dicho acto. (12) Además, el Tribunal de Justicia ha declarado que, para determinar la base jurídica adecuada de un acto de la Unión, puede tenerse en cuenta el contexto jurídico en que se inscribe una nueva normativa, en particular, por cuanto tal contexto puede arrojar luz sobre la finalidad de dicha normativa. (13)
32. En cuanto al presente asunto, conviene señalar, de entrada, que el hecho de que en la sentencia Schwarz se considerara que el artículo 77 TFUE, apartado 3, era una base jurídica adecuada para el Reglamento n.º 2252/2004, que establece la recogida obligatoria de impresiones dactilares de los ciudadanos de la Unión y su almacenamiento en los pasaportes de los ciudadanos de la Unión, (14) no es concluyente, por sí sola, a efectos de determinar si el Reglamento 2019/1157 fue adoptado correctamente sobre la base del artículo 21 TFUE, apartado 2, en contra de lo que sostiene el órgano jurisdiccional remitente. De hecho, el Tribunal de Justicia ha declarado en varias ocasiones, en línea con la jurisprudencia antes citada, que para determinar la base jurídica correcta de un determinado acto es preciso tener en cuenta su finalidad y contenido, no la base jurídica empleada para la adopción de otros actos de la Unión que presenten características similares. (15)
33. Por un lado, en lo concerniente a la finalidad del Reglamento 2019/1157, procede observar que su artículo 1, titulado «Objeto», establece que dicho Reglamento refuerza las normas de seguridad aplicables, entre otras cosas, a los documentos de identidad expedidos por los Estados miembros a sus nacionales en el ejercicio de su derecho a la libre circulación. Esa disposición plasma a nivel normativo el contenido de los considerandos 1 a 5 de ese mismo Reglamento que, remitiéndose al Tratado UE, al Tratado FUE, al artículo 45 de la Carta y a la Directiva 2004/38, evocan el objetivo de facilitar el ejercicio de los derechos de libre circulación de los ciudadanos de la Unión en un entorno seguro. (16)
34. En particular, el considerando 4 del Reglamento 2019/1157 señala que la falsificación de documentos o la presentación falsa de un hecho material referente al derecho de residencia son casos típicos de fraude en el marco de la libre circulación. Además, el considerando 5 del Reglamento 2019/1157 establece que la falsificación de documentos y los fraudes se derivan de las diferencias considerables entre los niveles de seguridad de los documentos de identidad nacionales expedidos por los Estados miembros. Según ese mismo considerando, esas diferencias incrementan el riesgo de falsificación y fraude documental y provocan dificultades prácticas para los ciudadanos cuando desean ejercer su derecho a la libre circulación. Por último, el considerando 28 del Reglamento 2019/1157 dispone que la introducción de normas reforzadas de seguridad debe proporcionar garantías suficientes a las autoridades públicas y a las entidades privadas que les permitan confiar en la autenticidad de los documentos de identidad cuando los utilicen los ciudadanos de la Unión a efectos de identificación.
35. Por otro lado, en cuanto al contenido del Reglamento 2019/1157, la recogida obligatoria de una imagen de las impresiones dactilares y su almacenamiento que contempla ese Reglamento, en debate en el presente litigio, forma parte de un conjunto más amplio de medidas aplicables a los documentos de identidad nacionales de nueva emisión que, en su mayor parte, figuran enumeradas en el artículo 3 que lleva por título «Normas de seguridad, formato y especificaciones».
36. A la luz del considerando 17 del Reglamento 2019/1157, es evidente que esas medidas persiguen fines de seguridad necesarios para verificar si un documento es auténtico y para comprobar la identidad de una persona. (17) El considerando 18 del Reglamento 2019/1157 expone, además, a este respecto, que el almacenamiento de datos biométricos en los documentos de identidad (una imagen facial y dos impresiones dactilares) es un método apropiado para combinar una identificación y una autenticación fiables con un riesgo reducido de fraude, con el fin de abordar adecuadamente el objetivo de reforzar la seguridad de los documentos de identidad.
37. De lo anterior se desprende que la finalidad que el Parlamento y el Consejo perseguían con el Reglamento 2019/1157 era básicamente facilitar el derecho de los ciudadanos de la Unión a desplazarse y residir en cualquier Estado miembro con sus documentos de identidad y que ese documento fuera considerado un documento de identidad auténtico y fiable. Esas fueron asimismo las palabras que empleó la Comisión en su propuesta de Reglamento, (18) en la que se insiste, al igual que el Reglamento 2019/1157, en la necesidad de reducir el riesgo de falsificación y fraude documental para mejorar la aceptación de esos documentos en un Estado miembro distinto del de su expedición. (19) A la luz de las disposiciones del Reglamento 2019/1157, ese objetivo debía cumplirse incorporando a los documentos de identidad nacionales características de seguridad comunes, calificadas en ese mismo Reglamento como (i) normas mínimas en materia de seguridad y de formato y (ii) normas reforzadas de seguridad. (20) En esta segunda categoría se incluye la recogida obligatoria de impresiones dactilares y el almacenamiento de su imagen en un medio de alta seguridad.
38. Queda por resolver si, a la luz de la finalidad y del contenido del Reglamento 2019/1157 que acabo de exponer, el legislador de la Unión actuó acertadamente al considerar que el artículo 21 TFUE, apartado 2, constituía una base jurídica adecuada para la adopción de ese Reglamento. Teniendo en cuenta el tenor de esa disposición, reproducido en el punto 29 de las presentes conclusiones, para responder a esa pregunta el Tribunal de Justicia debería examinar, en primer término, si puede considerarse que el Reglamento 2019/1157 se ha adoptado para facilitar el ejercicio del derecho a circular y residir libremente en el territorio de los Estados miembros; en segundo término, si era necesaria una acción de la Unión para alcanzar ese objetivo, y, en tercer término, si los Tratados no han previsto poderes de acción al respecto.
1. Facilitación del ejercicio del derecho de libre circulación
39. En lo que respecta, en primer término, a si el Reglamento 2019/1157 fue correctamente adoptado con el objetivo de facilitar el ejercicio del derecho de libre circulación, es importante recordar que, según el artículo 4 de la Directiva 2004/38, todos los ciudadanos de la Unión tienen derecho a salir del territorio de un Estado miembro para trasladarse a otro Estado miembro («derecho de salida»). De manera análoga, según el artículo 5 de esa Directiva, los Estados miembros deben admitir en su territorio a todo ciudadano de la Unión («derecho de entrada»). Como se indica claramente en la Directiva 2004/38 y se repite en el considerando 2 del Reglamento 2019/1157, ambos derechos constituyen el contenido esencial del derecho de libre circulación y, en consecuencia, uno de los pilares de la ciudadanía de la Unión.
40. Sin embargo, con arreglo a esas disposiciones, el ejercicio del derecho de salida y del derecho de entrada se hace depender de la obligación de presentar un documento de identidad válido o un pasaporte válido. Como ha indicado el Tribunal de Justicia en su jurisprudencia, esa obligación tiene por objeto simplificar la solución de los problemas relacionados con la prueba del derecho de residencia, tanto para los ciudadanos de la Unión como para las autoridades nacionales. (21) Por consiguiente, la confianza de los Estados miembros para acoger a ciudadanos de la Unión en sus respectivos territorios y, en última instancia, el ejercicio del derecho de libre circulación por parte de esos ciudadanos dependen de la fiabilidad de su documento de identidad o pasaporte en cuando a su autenticidad e identificación. (22) Ello es particularmente cierto toda vez que, según se desprende del considerando 4 del Reglamento 2019/1157, la Directiva 2004/38 permite a los Estados miembros denegar, extinguir o retirar cualquier derecho conferido por esa Directiva en caso de fraude. (23)
41. Además, es importante tener presente que el ejercicio del derecho de libre circulación no se limita a los controles en las fronteras (24) o al registro administrativo, como aduce principalmente el demandante. El derecho de libre circulación y de residencia permite a los ciudadanos de la Unión sumergirse en la vida cotidiana de los otros residentes del Estado miembro de acogida. De esta manera, los documentos de identidad nacionales desempeñan la misma función que la que tienen para los residentes, lo que significa que únicamente un documento de identidad fiable y auténtico, expedido de conformidad con un formato y unas normas de seguridad comunes, facilita el pleno disfrute de la libertad de circulación. Sin ese formato y normas comunes y dada la falta de homogeneidad de los actuales documentos de identidad nacionales en la Unión Europea, a la que me referiré más adelante, (25) resulta más fácil que surjan obstáculos y dificultades, que es la principal preocupación que se transmite en el considerando 5 del Reglamento 2019/1157.
42. Resulta ilustrativa a este respecto la utilización de los documentos de identidad nacionales para acceder a servicios prestados por entidades públicas o privadas en el Estado miembro de acogida, especialmente cuando la legislación nacional exige un documento de identificación a tal efecto. Así ocurre, por ejemplo, al acceder a servicios públicos como la sanidad o al relacionarse con entidades de crédito, compañías aéreas, centros de ocio, hoteles y otros establecimientos de hostelería, etc. Es más, la utilización de documentos de identidad nacionales es esencial para disfrutar de derechos estrechamente vinculados con el derecho de libre circulación y de residencia, como el derecho a votar y a presentarse como candidato en las elecciones europeas y municipales. (26)
43. En ese contexto no creo que pueda alegarse, a la luz de la finalidad y del contenido del Reglamento 2019/1157, que ese Reglamento no guarda relación con el objetivo de facilitar el ejercicio del derecho de libre circulación. Más bien ocurre todo lo contrario: la homogeneización del formato de los documentos de identidad nacionales y la mejora de su fiabilidad mediante normas de seguridad, incluyendo las que incorporó el artículo 3, apartado 5, del Reglamento 2019/1157, inciden de forma directa en el ejercicio de ese derecho, al hacer más fiables esos documentos, tanto desde el punto de vista técnico como —según señala acertadamente la Comisión— a los ojos del público, y, en consecuencia, que estos sean más fácilmente aceptados por las autoridades de los Estados miembros y por las entidades prestadoras de servicios. (27) En última instancia, supone una reducción de los inconvenientes, costes y barreras administrativas para los ciudadanos de la Unión que se desplazan.
44. Solo quiero añadir brevemente que, aunque los pasaportes, que ya están sujetos a la obligación de recogida y almacenamiento de impresiones dactilares con arreglo al Reglamento n.º 2252/2004, son documentos que los ciudadanos de la Unión pueden utilizar de forma alternativa para ejercitar su derecho de libre circulación, ello no excluye que los documentos de identidad nacionales sirvan a ese mismo fin en virtud de la Directiva 2004/38 (28) ni que, desde el punto de vista del legislador de la Unión, esos documentos exijan formatos armonizados y normas de seguridad más sólidas para ser más fiables y, en consecuencia, más fácilmente aceptables.
45. Por consiguiente, desde mi punto de vista, concurre el primer requisito del artículo 21 TFUE, apartado 2, es decir, que el Reglamento 2019/1157 se haya adoptado con el fin de facilitar el ejercicio del derecho a circular y residir libremente en el territorio de los Estados miembros.
2. Necesidad de una acción
46. En lo relativo, en segundo término, a la necesidad de una acción por parte de la Unión Europea para alcanzar el objetivo de facilitar el ejercicio del derecho de libre circulación, es preciso señalar que no se trata de una cuestión que el órgano jurisdiccional remitente haya planteado específicamente o que el demandante haya puesto en cuestión en el litigio principal. En todo caso, es preciso llamar la atención del Tribunal de Justicia sobre la evaluación de impacto llevada a cabo por la Comisión, que acompaña a su propuesta de Reglamento. (29)
47. En esa evaluación, la Comisión expone que los ciudadanos europeos se desplazan cada vez más, tanto dentro como fuera de la Unión Europea, lo cual constituye, sin lugar a dudas, un logro significativo de la integración europea. (30) A este respecto, la Comisión señala que, aunque la Directiva 2004/38 estableció las condiciones de ejercicio del derecho de libre circulación y residencia, esa Directiva no reguló el formato ni las normas de seguridad de los documentos de identidad nacionales, por lo que más de 250 versiones de esos documentos circulan válidamente en la Unión Europea. (31) En tales circunstancias, la evaluación de impacto de la Comisión identifica, como problemas para el ejercicio del derecho de libre circulación, una aceptación insuficiente de los documentos de identidad nacionales por parte de los Estados miembros, un incremento en la comisión de fraude documental y falta de autenticación de esos documentos, así como la complejidad de su expedición y gestión. (32) En su evaluación, la Comisión llega a la conclusión de que, aunque cada vez es más necesario utilizar documentos de identidad nacionales, si no se adoptan medidas adecuadas podrán seguir existiendo o incrementarse las considerables dificultades para ejercer los derechos de libre circulación. (33)
48. En mi opinión, los aspectos expuestos, desarrollados en la evaluación de impacto de la Comisión, ponen de manifiesto que los ciudadanos de la Unión ejercitan cada vez más sus derechos de libre circulación, lo cual es un hecho conocido. Al mismo tiempo, esos aspectos ponen de manifiesto las actuales dificultades y riesgos que afloran al ejercitar esos derechos, debido a la falta de homogeneidad en los formatos y elementos de seguridad de los documentos de identidad nacionales. Teniendo en cuenta la amplia facultad discrecional que el legislador de la Unión tiene reconocida cuando debe realizar apreciaciones complejas, (34) no debería dudarse en modo alguno de que el Parlamento y el Consejo no cometieron ningún error cuando consideraron que esa acción de la Unión Europea era necesaria para alcanzar el objetivo de facilitar el ejercicio de la libertad de circulación.
49. Por lo tanto, en mi opinión también se cumple el segundo requisito del artículo 21 TFUE, apartado 2.
3. Poderes de acción al respecto
50. En tercer lugar, la adopción de una medida de la Unión sobre la base del artículo 21 TFUE, apartado 2, está sujeta al requisito de que «los Tratados [no] hayan previsto los poderes de acción al respecto». En la resolución de remisión, el órgano jurisdiccional remitente considera que el artículo 77 TFUE, apartado 3, constituye una base jurídica más específica para introducir nuevos elementos de seguridad en los documentos de identidad nacionales de los Estados miembros. Por esa razón, dicho tribunal entiende que debería haberse recurrido al artículo 77 TFUE, apartado 3, como base legal, en lugar de al artículo 21 TFUE, apartado 2, al adoptar el Reglamento 2019/1157.
51. A título preliminar deseo recordar que, de conformidad con reiterada jurisprudencia, no pueden acumularse dos bases jurídicas cuando los procedimientos previstos para alguna de las dos son incompatibles. (35) En el presente asunto, los procedimientos legislativos aplicables en virtud del artículo 21 TFUE, apartado 2, por un lado, y del artículo 77 TFUE, apartado 3, por otro lado, son mutuamente excluyentes, lo cual significa que no podría darse por buena la elección de la primera de esas disposiciones para la adopción del Reglamento 2019/1157 en caso de que el Tribunal de Justicia concluyese que el artículo 77 TFUE, apartado 3, debería haber sido la base jurídica correcta para esa adopción.
52. En todo caso, si se tienen en cuenta el tenor y la sistemática del artículo 77 TFUE, apartado 3, junto con la estructura de ese Tratado, no creo que pueda aceptarse la postura que defiende el órgano jurisdiccional remitente.
53. En primer lugar, como he señalado en el punto 30 de las presentes conclusiones, el artículo 77 TFUE, apartado 3, figura en el título V de la Tercera Parte del TFUE, dedicado al «Espacio de libertad, seguridad y justicia», en particular, en su capítulo 2, que guarda relación con las «Políticas sobre controles en las fronteras, asilo e inmigración». Esa disposición se encuentra a continuación del artículo 77 TFUE, apartado 1, que establece que la Unión desarrollará una política para lograr determinados objetivos relativos, en esencia, con los controles en las fronteras. También sigue al artículo 77 TFUE, apartado 2, que autoriza al Parlamento y al Consejo para adoptar, con arreglo al procedimiento legislativo ordinario, medidas relativas a esa misma política.
54. El contenido general y la sistemática del artículo 77 TFUE llevan pues a considerar que, aunque su apartado 3 atribuye al Consejo competencia para adoptar disposiciones relativas a los pasaportes y documentos de identidad para facilitar el ejercicio del derecho a circular y residir libremente, esa competencia debe interpretarse en referencia al contexto de las políticas de control de fronteras. Cualquier medida de la Unión que se extienda más allá de ese contenido específico, independientemente de las exigencias del procedimiento legislativo aplicable, no estará comprendida en el ámbito del artículo 77 TFUE, apartado 3.
55. En el presente asunto, la introducción de normas, formatos y especificaciones uniformes en relación con la seguridad de los documentos de identidad nacionales, incluidos los indicados en el artículo 3, apartado 5, del Reglamento 2019/1157, puede incidir, desde luego, en los controles en las fronteras. (36) Sin embargo, como he señalado en las presentes conclusiones, ese Reglamento abarca un mayor espacio de la vida de los ciudadanos de la Unión, que impide que se circunscriba exclusivamente al ámbito del control de fronteras. A este respecto puede resultar útil recordar que, si el examen de un acto de la Unión demuestra que este persigue varias finalidades y una de esas finalidades puede identificarse como principal o preponderante, mientras que los demás son meramente accesorias, entonces el acto debe fundarse en una sola base jurídica, a saber, aquella que corresponda a la finalidad principal. (37) En cuanto al Reglamento 2019/1157, considero evidente que incide en el derecho a circular y residir libremente en muchos aspectos distintos y que solo tiene una incidencia parcial en los controles en las fronteras.
56. En segundo lugar, es importante señalar que, de conformidad con el artículo 77 TFUE, apartado 3, esa disposición solo se aplica cuando ninguna otra disposición de los Tratados prevea poderes de actuación para lograr sus objetivos, disposición que constituye una cláusula de subsidiariedad que está redactada en términos análogos a los del artículo 21 TFUE, apartado 2. La cuestión que se suscita es si el artículo 21 TFUE, apartado 2, o el artículo 77 TFUE, apartado 3, constituyen una disposición más específica que la otra en lo concerniente, en particular, al derecho a circular y residir libremente en el territorio de los Estados miembros.
57. En este sentido me gustaría destacar, por un lado, que el artículo 77 TFUE, apartado 3, se refiere expresamente al artículo 20 de ese mismo Tratado por el que se crea la ciudadanía de la Unión y, más específicamente, a su apartado 2, letra a), según el cual esa ciudadanía incluye el derecho a circular y residir libremente en el territorio de los Estados miembros. A continuación, el artículo 77 TFUE, apartado 3, dispone que el Consejo es competente para establecer disposiciones relativas, en particular, a los documentos de identidad con la finalidad de facilitar el derecho a que se refiere el artículo 20 TFUE, apartado 2, letra a), si los Tratados no han previsto poderes de actuación a tal efecto. A su vez, como ya he indicado anteriormente, el artículo 21 TFUE desarrolla el contenido del artículo 20 TFUE, apartado 2, letra a), indicando, entre otras cosas, que el derecho contemplado en dicha disposición está sujeto a las limitaciones y condiciones previstas en los Tratados y en las disposiciones adoptadas para su aplicación, específicamente, mediante su apartado 2. En ese contexto, me inclino por considerar que, en lo que respecta al artículo 20 TFUE, apartado 2, el artículo 21 del mismo Tratado constituye una disposición más específica, cuyo efecto es hacer inaplicable la cláusula de subsidiariedad del artículo 77 TFUE, apartado 3, y, en consecuencia, el procedimiento legislativo especial previsto en esa disposición.
58. Por otro lado, como aduce la Comisión, el alcance de la cláusula de subsidiariedad que se deriva del artículo 21 TFUE, apartado 2, que permite adoptar disposiciones para facilitar la libre circulación de personas a menos que los Tratados hayan previsto los poderes de acción al efecto, parece circunscribirse a los artículos del Tratado FUE recogidos en el título IV de la Tercera Parte del Tratado, a saber, el artículo 45, sobre la libre circulación de trabajadores, y los artículos 49 y 56, sobre el derecho de establecimiento y el derecho a la libre prestación de servicios en el territorio de otro Estado miembro. Lo anterior es evidente, desde un punto de vista sistemático, dado el riesgo de solapamiento derivado de las disposiciones del Tratado relativas, por un lado, al derecho de los ciudadanos de la Unión a circular y residir libremente en la Unión Europea y, por otro lado, a los derechos de libre circulación como elementos esenciales del mercado interior. La jurisprudencia del Tribunal de Justicia apoya efectivamente la anterior interpretación, (38) en la medida en que considera que el artículo 21 TFUE halla una expresión concreta en las disposiciones que garantizan la libre circulación y, por lo demás, sugiere que si un asunto está incluido en el ámbito de una esas disposiciones, el artículo 21 TFUE pierde su condición de base jurídica adecuada para la adopción de disposiciones que facilitan el derecho a circular y residir libremente. (39)
59. Por último, deseo señalar brevemente que la circunstancia de que el artículo 77 TFUE, apartado 3, se refiera expresamente a los documentos de identidad en su redacción, como destaca el órgano jurisdiccional remitente, no es determinante para que esa disposición se considere una disposición más específica con respecto al artículo 21 TFUE, apartado 2. Después de todo, el artículo 77 TFUE, apartado 3, también se refiere, por ejemplo, a los permisos de residencia, cuyo modelo uniforme, en particular en lo que respecta a los nacionales de terceros países, fue establecido por el Reglamento n.º 1030/2002, (40) que incluye elementos mínimos de seguridad y la obligación de almacenar datos biométricos. Sin embargo, ese Reglamento y sus modificaciones se adoptaron con arreglo al procedimiento legislativo ordinario sobre la base del artículo 63 CE, punto 3, que posteriormente se convirtió en el artículo 79 TFUE, y no sobre la base del antecesor del artículo 77 TFUE, apartado 3. Ello se debe a que los permisos de residencia son documentos que se utilizan a nivel interno en el Estado miembro de expedición y no para el control de fronteras, como ocurre, en la mayor parte de los casos, con los documentos de identidad nacionales.
60. De ello resulta que el artículo 77 TFUE, apartado 3, no constituye una disposición más específica para la finalidad de facilitar el ejercicio del derecho a circular y residir libremente en el territorio de los Estados miembros que el artículo 21 TFUE, apartado 2, y que, por lo tanto, concurre el tercer requisito establecido en esta última disposición.
61. A la luz de lo anterior, como el análisis que he propuesto pone de manifiesto que en este caso se cumplen los tres requisitos que se desprenden del tenor del artículo 21 TFUE, apartado 2, he de concluir que, al utilizar esa disposición como base jurídica para el Reglamento 2019/1157, el Parlamento y el Consejo adoptaron correctamente ese Reglamento.
62. El primer motivo invocado por el órgano jurisdiccional remitente no debería llevar al Tribunal de Justicia a declarar la invalidez del Reglamento 2019/1157, en particular, de su artículo 3, apartado 5.
B. Artículos 7 y 8 de la Carta
63. El segundo motivo de invalidez que se menciona en la resolución de remisión se refiere a si la obligación de recoger la imagen de impresiones dactilares y almacenarla en los documentos de identidad nuevos expedidos por los Estados miembros, con arreglo al artículo 3, apartado 5, del Reglamento 2019/1157, constituye una limitación no justificada de los artículos 7 y 8 de la Carta, en relación con su artículo 52, apartado 1.
1. Limitación
64. El artículo 7 de la Carta establece que toda persona tiene derecho al respeto de su vida privada y familiar, de su domicilio y de sus comunicaciones. Conforme al artículo 8, apartado 1, de esta, toda persona tiene derecho a la protección de los datos de carácter personal que le conciernan. Aunque ambas disposiciones tienen por objeto dos derechos fundamentales diferentes, el Tribunal de Justicia los ha venido aplicando de forma simultánea al examinar, como en el presente asunto, la conformidad con la Carta de disposiciones europeas o nacionales en materia de protección de datos personales. (41)
65. El Tribunal de Justicia también ha declarado que el respeto del derecho a la vida privada en lo que respecta al tratamiento de los datos de carácter personal, reconocido por los artículos 7 y 8 de la Carta, se aplica a toda información sobre una persona física identificada o identificable. (42) Ese es, sin duda, el caso de los identificadores biométricos y, en particular, de las impresiones dactilares digitales, de que se trata en el Reglamento 2019/1157, que contienen información única sobre personas físicas y permiten su identificación precisa. (43)
66. Además, en la sentencia Schwarz, el Tribunal de Justicia declaró que la inclusión obligatoria de impresiones dactilares digitales en pasaportes nuevos expedidos por los Estados miembros, conforme a lo establecido en el Reglamento n.º 2252/2004, debía considerarse un tratamiento de datos personales y que esa inclusión constituía una limitación de los derechos consagrados en los artículos 7 y 8 de la Carta. (44) En línea con la postura adoptada por todas las partes en el presente procedimiento, ese pronunciamiento lleva a considerar que el Reglamento 2019/1157, que contempla medidas similares para los documentos de identidad nacionales, introduce una limitación a los dos derechos fundamentales que esos artículos protegen.
67. Más concretamente, esa limitación debe definirse en relación con las dos medidas previstas en el artículo 3, apartado 5, del Reglamento 2019/1157, a saber, la propia recogida de las impresiones dactilares, cuyo procedimiento está regulado con mayor detalle en el artículo 10, apartado 1, de ese Reglamento, y la inclusión definitiva de esas impresiones dactilares en un medio de almacenamiento de alta seguridad en todo documento de identidad nuevo que los Estados miembros expidan. (45)
68. Además, como observa el Parlamento, es preciso tener en cuenta la medida que figura en el artículo 10, apartado 3, del Reglamento 2019/1157. En esencia, esa disposición establece que las autoridades públicas solo pueden conservar los identificadores biométricos almacenados a fines de personalización de los documentos de identidad hasta la fecha de recogida del documento por su titular y, en cualquier caso, no más de 90 días después de la fecha de expedición del documento. Almacenar de tal manera esos identificadores incrementa el riesgo de que las autoridades públicas accedan de forma indebida a los identificadores biométricos capturados con arreglo al artículo 3, apartado 5, del Reglamento 2019/1157 y constituye, por lo tanto, una circunstancia que no debe ser obviada al apreciar la limitación que esa disposición introduce en relación con los derechos garantizados por los artículos 7 y 8 de la Carta.
69. Por último, el artículo 11 del Reglamento 2019/1157, titulado «Protección de datos personales y responsabilidad», y en particular su apartado 6, permite a las autoridades nacionales competentes y a las agencias de la Unión utilizar los documentos de identidad nacionales con impresiones dactilares almacenadas a fin de verificar la autenticidad del documento y la identidad del titular. Una vez más, en ese contexto pude surgir una amenaza en lo que respecta a los identificadores biométricos recogidos conforme al artículo 3, apartado 5, del Reglamento 2019/1157.
70. De lo anterior se desprende que, para definir la limitación de los derechos garantizados por los artículos 7 y 8 de la Carta introducida en el presente asunto y para determinar si esa limitación está justificada, el Tribunal de Justicia debe llevar a cabo su análisis teniendo en cuenta, además de la recogida de las impresiones dactilares y su inclusión en los documentos de identidad nacionales nuevos que los Estados miembros expidan, las dos medidas adicionales que, dada su estrecha vinculación con los identificadores biométricos a que hace referencia el artículo 3, apartado 5, del Reglamento 2019/1157 en cuanto a su almacenamiento y posterior uso, no deben pasarse por alto en ese examen.
2. Justificación de la limitación
71. En cuanto al carácter justificado de la limitación resultante del Reglamento 2019/1157, conforme ha sido descrita, conviene señalar, de entrada, que el artículo 8, apartado 2, de la Carta, permite el tratamiento de datos personales siempre que la persona afectada consienta o en virtud de otro fundamento legítimo previsto por la ley. En este caso, es evidente que los ciudadanos de los Estados miembros que solicitan la expedición de un documento nacional de identidad no pueden oponerse al tratamiento de sus impresiones digitales, en virtud del carácter obligatorio de las medidas previstas en el artículo 3, apartado 5, del Reglamento 2019/1157. (46) Por consiguiente, es necesario determinar si ese tratamiento puede estar justificado en virtud de otra base jurídica legítima.
72. El Tribunal de Justicia ha declarado en reiteradas ocasiones que los derechos reconocidos por los artículos 7 y 8 de la Carta no constituyen prerrogativas absolutas, sino que deben ser considerados en relación con su función en la sociedad. (47) A este respecto, el artículo 52, apartado 1, de la Carta establece, en su primera frase, que cualquier limitación del ejercicio de los derechos y libertades reconocidos por ella deberá ser establecida por la ley y respetar el contenido esencial de dichos derechos y libertades. La segunda frase del artículo 52, apartado 1, dispone además que, dentro del respeto del principio de proporcionalidad, solo podrán introducirse limitaciones cuando sean necesarias y respondan efectivamente a objetivos de interés general reconocidos por la Unión o a la necesidad de protección de los derechos y libertades de los demás. (48)
73. Como reconoce el órgano jurisdiccional remitente, el presente asunto no suscita ningún tipo de problema en relación con los requisitos establecidos en la primera frase del artículo 52, apartado 1, de la Carta. Después de todo, las limitaciones a sus artículos 7 y 8 que se derivan del Reglamento 2019/1157 se recogen en una ley que reviste forma de Reglamento, el cual, en el caso de la República Federal de Alemania, ha sido incluso transpuesto al Derecho nacional. (49) Además, dadas las distintas garantías contempladas en los artículos 3, apartado 5, 10, apartados 1 y 3, y 11, apartado 6, del Reglamento 2019/1157, concretamente referidas a la recogida, almacenamiento y utilización de impresiones dactilares en documentos de identidad nacionales de nueva expedición, como describiré más adelante, (50) se respeta el contenido esencial de los derechos consagrados en ambas disposiciones.
74. Queda por determinar si esas limitaciones son conformes al principio de proporcionalidad y, especialmente, si son necesarias y responden efectivamente a un objetivo de interés general reconocido por la Unión, de conformidad con la segunda frase del artículo 52, apartado 1, de la Carta.
75. En cuanto a si las limitaciones que resultan del Reglamento 2019/1157 cumplen un objetivo de interés general, ya he señalado, como parte de mi análisis sobre el primer motivo de invalidez, (51) que ese Reglamento pretende facilitar el derecho de libre circulación de los ciudadanos de la Unión haciendo más fiables los documentos de identidad nacionales en términos de autenticidad y de identidad. En esencia, del artículo 1 del Reglamento 2019/1157, a la luz, entre otras cosas, de sus considerandos 4, 5, 18 y 28, se desprende que la falta de homogeneidad en los formatos y elementos de seguridad de los documentos de identidad nacionales incrementa el riesgo de falsificación y falsedad documental, cuya prevención constituye, por ende, un objetivo de ese Reglamento como manera de promover la aceptación de tales documentos en Estados miembros distintos de los que los hayan expedido.
76. Por lo tanto, considero que, en la medida en que la recogida de impresiones dactilares y su almacenamiento en documentos de identidad nacionales de nueva expedición, según se establece en el artículo 3, apartado 5, del Reglamento 2019/1157, pretende impedir que esos documentos se conviertan en objetivo de falsificación o de uso fraudulento por parte de personas que no sean su legítimo titular y, en consecuencia, facilitar el ejercicio del derecho de libre circulación consagrado, entre otros, en el artículo 45 de la Carta, las limitaciones introducidas por el Reglamento 2019/1157 persiguen un objetivo de interés general en el sentido del artículo 52, apartado 1, de la Carta. (52) El Tribunal de Justicia adoptó una interpretación similar en la sentencia Schwarz, (53) que, en mi opinión, presenta analogías con el presente asunto.
77. En cuanto a la proporcionalidad de las limitaciones que origina el Reglamento 2019/1157, de consolidada jurisprudencia del Tribunal de Justicia se desprende que el principio de proporcionalidad exige que los actos de las instituciones de la Unión sean adecuados para lograr los objetivos legítimos perseguidos por la normativa de que se trate y no rebasen los límites de lo que resulta apropiado y necesario para el logro de dichos objetivos. (54)
78. Además, cuando se trate de injerencias en los derechos fundamentales, el alcance de la facultad de apreciación del legislador de la Unión puede resultar limitado en función de una serie de factores, entre los que figuran, en particular, el ámbito afectado, el carácter del derecho en cuestión garantizado por la Carta, la naturaleza y la gravedad de la injerencia, así como la finalidad de esta. (55)
79. En el presente asunto, es cierto que la captura de impresiones dactilares y su almacenamiento en documentos de identidad nacionales de nueva expedición no son, en sí, medidas de una intensidad particular en cuanto a la limitación que suponen para los derechos garantizados en los artículos 7 y 8 de la Carta. Después de todo, por un lado, la captura de impresiones dactilares no es una operación que revista un carácter íntimo (56) y, por otro lado, los identificadores biométricos almacenados en un documento de nueva expedición quedan a exclusiva disposición de su titular, con arreglo al Reglamento 2019/1157.
80. Sin embargo, la limitación que introduce el Reglamento 2019/1157 guarda relación con la protección de datos personales que, según la jurisprudencia del Tribunal de Justicia, desempeña un papel importante a la luz del derecho fundamental del respeto de la vida privada. (57) Además, las medidas que acompañan a la captura y almacenamiento de impresiones dactilares, que he descrito en los puntos 68 y 69 de las presentes conclusiones, pueden incrementar el riesgo de que las autoridades públicas accedan indebidamente a identificadores biométricos y de que se cometan abusos. Por último, como subraya el órgano jurisdiccional remitente, es preciso tener en cuenta el impacto global del Reglamento 2019/1157 en la población de la Unión, cuya obligación de incluir una imagen de sus impresiones dactilares en los documentos de identidad de nueva expedición puede afectar a hasta un 85 % de los ciudadanos de la Unión, dado el carácter obligatorio de esos documentos en la mayoría de los Estados miembros. (58)
81. Por todas estas razones, en mi opinión debe considerarse que la facultad de apreciación del legislador de la Unión es reducida, de manera que el control del ejercicio de esa facultad debe ser estricto. Sentado lo anterior, creo que las limitaciones que se derivan del Reglamento 2019/1157 y, especialmente, de su artículo 3, apartado 5, son adecuadas, necesarias y no van más allá de lo necesario para lograr el principal objetivo de ese Reglamento.
82. En primer término, en lo que respecta a si la captura de impresiones dactilares y su almacenamiento en documentos de identidad nacionales de nueva expedición es idónea para alcanzar el objetivo que persigue el Reglamento 2019/1157, no se discute y, de hecho, así lo declaró el Tribunal de Justicia en la sentencia Schwarz, (59) que la conservación de impresiones dactilares en un dispositivo de almacenamiento dotado de fuertes medidas de seguridad puede reducir el riesgo de falsificación de documentos de identidad nacionales, dada la naturaleza única de las impresiones dactilares a efectos de identificación y de la sofisticación técnica de esa conservación.(60) Al reducir el riesgo de falsificación de documentos de identidad nacionales, la aceptación de esos documentos en Estados miembros distintos de los que los hayan expedido se incrementará, lo cual, en última instancia, facilitará el ejercicio del derecho de libre circulación de los ciudadanos de la Unión. (61) Desde esa perspectiva, no creo que siga habiendo duda en cuanto a la idoneidad de la utilización de impresiones dactilares para lograr el objetivo del Reglamento 2019/1157. (62)
83. El órgano jurisdiccional remitente señala, no obstante, que la recogida y almacenamiento de impresiones dactilares únicamente permite verificar si los datos biométricos incluidos en un documento de identidad nacional en particular se corresponden con los datos biométricos de su titular, pero no identificar a esa persona en sí. En su opinión, esa identificación solo puede hacerse comparando, por un lado, los datos biométricos almacenados en el documento de identidad y, por otro lado, los datos biométricos conservados en una base de datos a prueba de falsificaciones. Desde esa perspectiva, el órgano jurisdiccional remitente cuestiona si la inclusión obligatoria de impresiones dactilares en documentos de identidad nacionales permite lograr el objetivo del Reglamento 2019/1157.
84. A este respecto ha de destacarse que el argumento del órgano jurisdiccional remitente no pone en entredicho el hecho de que la inclusión de impresiones dactilares en documentos de identidad nacionales es, en sí, un medio eficaz para mejorar el nivel de autenticidad y fiabilidad de esos documentos y, en consecuencia, su aceptación en el ejercicio del derecho a la libre circulación. Ese argumento parte exclusivamente de la premisa de que la inclusión de impresiones dactilares digitales en documentos de identidad nacionales puede no ser completamente fiable, pues estos documentos aún pueden ser falsificados, lo cual significa que el objetivo que persigue el Reglamento 2019/1157 no puede lograrse completamente.
85. La existencia de documentos de identidad nacionales a prueba de falsificación tras la adopción del Reglamento 2019/1157, incluidas las medidas que impone su artículo 3, apartado 5, es una cuestión que no puede apreciarse a la luz de las pruebas a disposición del Tribunal de Justicia. Dicho esto, de la sentencia Schwarz se desprende que el hecho de que un método para luchar contra la falsificación y el uso fraudulento no sea completamente fiable no es determinante para que se considere inadecuado a efectos de la interpretación del artículo 52, apartado 1, de la Carta. De hecho, basta con que reduzca considerablemente el riesgo de falsificación que existiría de no ser por ese método. (63)
86. Por consiguiente, aunque la recogida de impresiones dactilares y su almacenamiento en documentos de identidad de nueva expedición no pueda considerarse una medida que esté completamente a prueba de falsificaciones, tal circunstancia no pone en entredicho su idoneidad para prevenir la falsificación y el fraude documental y, por ende, para facilitar el derecho de libre circulación de los ciudadanos de la Unión. Tampoco lo hace la circunstancia, también señalada por el órgano jurisdiccional remitente, de que la recogida e inclusión de impresiones dactilares solo se aplique a documentos de identidad de nueva expedición y de que los documentos antiguos sigan siendo temporalmente válidos. (64) Incluso en ese caso, la introducción gradual de esa medida en los documentos de identidad nacionales reduce el riesgo de que los documentos nacionales se falsifiquen y contribuye progresivamente a lograr el objetivo del Reglamento 2019/1157.
87. En segundo término, en lo que concierne a si la captura de impresiones dactilares y su almacenamiento en documentos de identidad también son necesarios, al no existir ningún otro método igualmente adecuado pero menos intrusivo para lograr el mismo objetivo legítimo, el órgano jurisdiccional remitente se refiere a dos alternativas principales a esa medida, la primera de ellas analizada en detalle por la Comisión en la evaluación de impacto adjunta a la propuesta de Reglamento. (65)
88. En efecto, la primera alternativa consistiría en circunscribir la exigencia de protección contra falsificaciones a la imagen facial del titular del documento, método que también tiene la finalidad de armonizar las distintas normas de seguridad para documentos de identidad nacionales a nivel nacional.
89. A este respecto, he señalado que el Tribunal de Justicia ya ha declarado que la medida consistente en capturar la impresión dactilar de los dedos, al igual que ocurre con la imagen facial, no es una operación que revista un carácter íntimo. No puede suponer un inconveniente físico o psíquico particular para el interesado, al igual que sucede con la toma de su imagen facial. (66) El Tribunal de Justicia también ha considerado que, aunque la toma de las impresiones dactilares se añade a la toma de la imagen facial, la acumulación de dos operaciones destinadas a la identificación de las personas no debería a priori considerarse que suponga, en sí misma, una vulneración más grave de los derechos reconocidos por los artículos 7 y 8 de la Carta que si tales operaciones fueran consideradas aisladamente. (67)
90. Además, dado que las características anatómicas de la cara de una persona pueden cambiar de forma significativa debido a diversas vicisitudes de la vida de esa persona, como el envejecimiento o una enfermedad, es más probable que se cometan errores de identificación comparando simplemente la imagen facial que figura en el documento de identidad nacional con la cara del titular del documento, que verificando la imagen facial que figura en el documento de identidad y las impresiones dactilares de esa misma persona. A este respecto, como señala el Gobierno alemán, las modernas técnicas de mutación (morphing) que fusionan varias caras en una única imagen facial pueden inducir a error incluso en el caso de una comparación de fotografías biométricas.
91. Por consiguiente, ni la comparación manual de la imagen facial de los documentos de identidad nacionales con la cara del titular del documento ni su comparación automatizada (68) —que eran los métodos empleados en muchos Estados miembros antes de que se aprobara el Reglamento 2019/1157— pueden arrojar un resultado más eficaz que la combinación de los identificadores biométricos mencionados en el artículo 3, apartado 5, de citado Reglamento, es decir, una imagen facial del titular del documento y dos impresiones dactilares. (69) A mi modo de ver, cabe llegar a una conclusión parecida si la imagen de la cara del titular del documento se combinase únicamente con hologramas o marcas de agua, como igualmente plantea el órgano jurisdiccional remitente.
92. La segunda alternativa consiste en almacenar una menor cantidad de datos de impresiones digitales, bajo la forma de los denominados puntos característicos de las huellas dactilares, o exigir la toma de una única impresión dactilar. A este respecto es importante explicar que la inclusión de puntos característicos en los documentos de identidad nacionales exigiría, como primera etapa, tomar una impresión dactilar completa y, posteriormente, extraer esos puntos característicos, lo cual supone que debería realizarse un tratamiento de datos más extensivo además de la captura y almacenamiento de impresiones dactilares individuales. Por esa razón, no creo que ese método pueda considerarse menos intrusivo.
93. Además, según la doctrina, el almacenamiento de puntos característicos no parece proporcionar el mismo grado de seguridad a la hora de verificar la identidad que la utilización de impresiones dactilares completas, (70) consideración que se suma a las dificultades que suscita el uso de puntos característicos en lo que respecta a la interoperabilidad. A este respecto, como señalaron la mayoría de las partes durante la vista, no se ha establecido ningún procedimiento uniforme ni existe siquiera un programa informático a nivel europeo o nacional que permita leer los puntos característicos de un documento nacional de identidad, lo que supondría una carga insuperable para el intercambio de datos entre autoridades nacionales. (71)
94. Lo mismo ocurre, por ejemplo, en el ámbito internacional, en el que, para poder realizar viajes internacionales por avión, los documentos de identidad deben cumplir las especificaciones recogidas en el Documento 9303 de la OACI. (72) Esas especificaciones establecen que, si un Estado prevé la inclusión de impresiones dactilares en documentos de viaje de lectura mecánica, es obligatorio permitir su interoperabilidad global. (73) El almacenamiento de puntos característicos no cumple esos requisitos.
95. En lo referente a la toma y almacenamiento de una única impresión dactilar, tiendo a considerar que, aunque el volumen de datos almacenados es menor que cuando se almacenan dos impresiones dactilares, ese método no es igual de adecuado pues da lugar a una menor fiabilidad. Puede resultar ilustrativo a este respecto el supuesto de una toma defectuosa de una impresión dactilar o de una lesión en el dedo cuya impresión se tomó. En cualquier caso, de la jurisprudencia del Tribunal de Justicia se desprende que incluso tomar un mayor número de impresiones dactilares puede considerarse proporcionado. (74)
96. De las anteriores consideraciones se desprende que no parece existir un método igualmente idóneo pero menos intrusivo que la toma y almacenamiento de impresiones dactilares para lograr el objetivo del Reglamento 2019/1157 de una manera igual de efectiva.
97. En tercer término, para que el artículo 3, apartado 5, del Reglamento 2019/1157 esté justificado por su objetivo, el tratamiento de las impresiones dactilares recogidas con arreglo a esa disposición no debe ir más allá de lo necesario para lograr ese objetivo. A este respecto, el legislador debe asegurarse de que existen garantías específicas destinadas a proteger eficazmente tales datos contra los tratamientos inapropiados y abusivos. (75) Esa justificación solo puede aceptarse si se establecen limitaciones específicas a la amenaza existente con el fin de evitar abusos. (76)
98. En este asunto es preciso destacar, en primer lugar, que los artículos 3, apartados 5 y 6, 10 y 11 del Reglamento 2019/1157 establecen un marco jurídico claro para la recogida, almacenamiento y utilización de identificadores biométricos, en particular, impresiones dactilares. (77)
99. En particular, en primer término, las condiciones que rigen la recogida de impresiones dactilares están recogidas en el artículo 10 del Reglamento 2019/1157. En esa disposición se establece expresamente que los identificadores biométricos solo pueden ser recogidos por personal cualificado y debidamente autorizado previamente designado por las autoridades responsables de la expedición de los documentos de identidad y con el fin exclusivo de integrarlos en el medio de almacenamiento de alta seguridad a que se refiere el artículo 3 del Reglamento 2019/1157. Además, los Estados miembros han de garantizar que se establezcan procedimientos adecuados y eficaces para la recogida de identificadores biométricos y esos procedimientos han de respetar los derechos y principios establecidos, no solo en la Carta, sino también en el Convenio para la Protección de los Derechos Humanos y las Libertades Fundamentales y en la Convención sobre los Derechos del Niño. (78) Tales procedimientos han de respetar, si se presentan dificultades, la dignidad del interesado.
100. En segundo término, por lo que se refiere al almacenamiento de los identificadores biométricos tras su recogida, el artículo 3, apartado 6, del Reglamento 2019/1157 establece expresamente que el medio de almacenamiento de los documentos de identidad nacionales ha de garantizar la integridad, la autenticidad y la confidencialidad de los datos, que se custodiarán de conformidad con las instrucciones contempladas en la Decisión de la Comisión C(2018) 7767. (79) Asimismo, de acuerdo con el artículo 10, apartado 3, del referido Reglamento, el almacenamiento de los identificadores biométricos por parte de las autoridades públicas tras su recogida ha de limitarse al período que media entre la recogida de los datos y la fecha de expedición del documento de identidad y, en cualquier caso, no más de 90 días después de la fecha de expedición del documento. Durante ese período, los datos deben mantenerse de manera extremamente segura. Superado este período, las impresiones dactilares recogidas deben ser suprimidas o destruidas.
101. En tercer término, el acceso a las impresiones dactilares conservadas en el medio de almacenamiento es igualmente muy limitado de conformidad con el artículo 11 del Reglamento 2019/1157. Solo puede acceder a ellas el personal debidamente autorizado de las autoridades competentes (80) y el acceso solo es posible cuando la presentación del documento de identidad viene exigida por el Derecho de la Unión o el nacional. Asimismo, el único fin de ese acceso ha de ser comprobar la autenticidad del documento o la identidad del titular. Además, el control de la imagen facial es el principal objetivo para verificar la autenticidad del documento y la identidad de su poseedor, lo que implica que, como práctica general, los Estados miembros únicamente tendrían que comprobar las impresiones dactilares cuanto resulte necesario para confirmar de modo indubitado tales autenticidad e identidad. (81)
102. A la luz de lo anterior, considero que el Reglamento 2019/1157 proporciona medidas suficientes y adecuadas que garantizan que la recogida, almacenamiento y utilización de identificadores biométricos, en particular, de las impresiones dactilares digitales, quedan efectivamente protegidos frente a usos inapropiados y abusivos.
103. Más concretamente, tales medidas garantizan que los procedimientos de recogida son realizados por un número reducido de personal especializado y que los Estados miembros regulan cuidadosamente esos procedimientos con antelación a fin de respetar los derechos fundamentales y la dignidad de las personas interesadas. Garantizan, asimismo, que los identificadores biométricos almacenados en un documento de nueva expedición quedan a exclusiva disposición de su titular tras la expedición de tal documento y que no hay acceso público a ellos. (82) Los identificadores biométricos son custodiados de manera extremamente segura por las autoridades públicas a los solos efectos de la expedición de documentos de identidad y no se concede otro acceso ni a ellos ni a ninguna otra persona. Los identificadores biométricos, en todo caso, han de ser borrados y destruidos después de un período limitado y razonable de almacenamiento por las autoridades públicas en caso de que ese documento no llegara a ser expedido. Finalmente, las medidas incorporadas mediante el Reglamento 2019/1157 confirman que se accede a los identificadores biométricos y se hace uso de ellos en circunstancias estrictamente limitadas, predefinidas por la ley y con el exclusivo propósito de comprobar la autenticidad del documento y la identidad del titular, en línea con el principal objetivo de dicho Reglamento.
104. En aras de la exhaustividad deseo referirme a la parte introductoria del artículo 10, apartado 3, del Reglamento 2019/1157, que fue objeto de varias preguntas por parte del Tribunal de Justicia durante la vista. Antes de referirse a la conservación temporal de impresiones dactilares por las autoridades públicas y a la obligación de mantener esos identificadores biométricos de manera extremamente segura, que ya he mencionado, la primera frase del artículo 10, apartado 3, del Reglamento 2019/1157 contiene la mención «además de cuando sea necesario para fines de tratamiento acorde con […] el Derecho de la Unión y nacional». Esta previsión parece ser el resultado de la negociación interinstitucional —o diálogo a tres bandas— mantenido por el Parlamento, el Consejo y la Comisión durante el procedimiento legislativo ordinario que dio lugar a la adopción del Reglamento 2019/1157. (83)
105. A este respecto, es cierto que esta previsión podría sugerir que las autoridades públicas pueden conservar identificadores biométricos como impresiones dactilares después de su captura durante un período más largo del fijado en el artículo 10, apartado 3, del Reglamento 2019/1157 y que tales autoridades pueden usarlos para otros fines no expresamente previstos en ese Reglamento, como, por ejemplo, la creación de bases de datos nacionales.
106. Sin embargo, una lectura atenta del artículo 10, apartado 3, del Reglamento 2019/1157 pone de manifiesto que esta previsión no establece ninguna base jurídica para ningún fin que no esté específicamente indicado en ese Reglamento. En efecto, esa previsión se refiere expresamente a legislación adicional, ya sea de la Unión Europea o de los Estados miembros, lo cual significa que cualquier limitación de los derechos garantizados por los artículos 7 y 8 de la Carta debe apreciarse únicamente con respecto a esa otra legislación y no como si estuviera contenida en el Reglamento 2019/1157. Esa interpretación queda especialmente corroborada si se tiene en cuenta el considerando 21 del Reglamento 2019/1157, (84) que indica claramente que ese Reglamento no establece una base jurídica para crear o mantener bases de datos a nivel nacional para el almacenamiento de datos biométricos en los Estados miembros, pues se trata de una cuestión de Derecho nacional que tiene que cumplir con el Derecho de la Unión en materia de protección de datos. Ese mismo considerando señala además que tal Reglamento no establece una base jurídica para la creación o el mantenimiento de una base de datos centralizada a nivel de la Unión.
107. Por esa razón, no creo que la previsión introductoria del artículo 10, apartado 3, del Reglamento 2019/1157 pueda poner en entredicho la conclusión expuesta en el punto 102 de las presentes conclusiones en el sentido de que el Reglamento 2019/1157 proporciona suficientes garantías para evitar el tratamiento inapropiado o abusivo de identificadores biométricos, en particular de impresiones dactilares digitales.
108. A la luz de lo anterior, cabe concluir que el Reglamento 2019/1157 y, en particular, su artículo 3, apartado 5, no constituyen una limitación injustificada de los artículos 7 y 8 de la Carta, en relación con su artículo 52, apartado 1.
109. El segundo motivo invocado por el órgano jurisdiccional remitente no debería llevar al Tribunal de Justicia a declarar la invalidez del Reglamento 2019/1157.
C. Artículo 35, apartado 10, del RGPD
110. Mediante el tercer motivo de invalidez, el órgano jurisdiccional remitente pregunta si el artículo 3, apartado 5, del Reglamento 2019/1157 infringe el artículo 35, apartado 10, del RGPD. Haciéndose eco de la postura manifestada por el SEPD en su dictamen de 10 de agosto de 2018, (85) dicho tribunal alberga dudas sobre si el legislador de la Unión debería haber realizado una evaluación de impacto relativa a la protección de datos al adoptar el Reglamento 2019/1157.
111. El artículo 35 del RGPD está recogido en su capítulo IV que lleva por título «Responsable del tratamiento y encargado del tratamiento», más concretamente, en la sección 3, referida a la evaluación de impacto relativa a la protección de datos y consulta previa.
112. Según el apartado 1 de dicha disposición, cuando sea probable que un tipo de tratamiento, en particular si utiliza nuevas tecnologías, entrañe un alto riesgo para los derechos y libertades de las personas físicas, el responsable del tratamiento realizará, antes del tratamiento, una evaluación del impacto de las operaciones de tratamiento en la protección de datos personales. Los apartados 2 a 7 de la misma disposición desarrollan en mayor medida el contenido de la obligación de los responsables del tratamiento de realizar una evaluación de impacto, en particular enumerando los supuestos en el que se exige esa evaluación y describiendo los elementos mínimos que debe contener.
113. En cambio, el artículo 35, apartado 10, del RGPD establece una excepción a la obligación de realizar una evaluación de impacto que se aplica siempre que se cumplan los requisitos mencionados en esa disposición, en particular, (i) que el tratamiento de datos sea necesario para el cumplimiento de una obligación legal aplicable al responsable del tratamiento; (ii) que la ley regule la operación específica de tratamiento o conjunto de operaciones en cuestión, y (iii) que ya se haya realizado una evaluación de impacto relativa a la protección de datos como parte de una evaluación de impacto general en el contexto de la adopción de dicha base jurídica.
114. De entrada, es preciso señalar en el presente asunto que, aunque el órgano jurisdiccional remitente menciona el artículo 35, apartado 10, del RGPD como base de la infracción a que se refiere el presente motivo de invalidez, las indicaciones contenidas en la resolución de remisión apuntan a que ese motivo se fundamenta, en realidad, en una infracción del artículo 35, apartado 1, del RGPD. En efecto, esta disposición impone a los responsables del tratamiento, según se define dicha expresión en el artículo 4, punto 7, del RGPD, la obligación de realizar una evaluación de impacto cuando exista un alto riesgo para los derechos y libertades de las personas físicas. En opinión del órgano jurisdiccional remitente, esa obligación resultaba aplicable al legislador de la Unión cuando adoptó el Reglamento 2019/1157 y, según parece, no fue satisfecha, a juicio de ese mismo tribunal.
115. Además, es preciso señalar que el RGPD y el Reglamento 2019/1157 son normas de Derecho derivado que, en la jerarquía de fuentes del Derecho de la Unión, tienen idéntico rango. En contra de lo que indica el órgano jurisdiccional remitente en su cuestión prejudicial, ello implica que el RGPD no puede considerarse «Derecho de rango superior» con respecto al Reglamento 2019/1157. En este sentido, de la jurisprudencia del Tribunal de Justicia se desprende, en esencia, que a menos que un acto de Derecho derivado contenga una disposición que establezca expresamente la primacía de uno sobre el otro, la validez del segundo no puede evaluarse a la luz del primero. En ese caso, solo es necesario garantizar que cada uno de esos actos se aplique de un modo compatible con el otro y permita una aplicación coherente de ambos. (86)
116. En lo que respecta al Reglamento 2019/1157, ha de señalarse que ese Reglamento establece vínculos explícitos con el RGPD, en particular en su artículo 11, en relación con la protección de datos personales. Esa disposición, que debe leerse a la luz de los considerandos 40, 41 y 43 del mismo Reglamento, deja claro que el RGPD se aplica a los datos personales que deban tratarse en el contexto de la aplicación del Reglamento 2019/1157. Más concretamente, del artículo 11, apartado 2, de dicho Reglamento resulta que las autoridades responsables de expedir documentos de identidad se consideran como el responsable a tenor del artículo 4, punto 7, del RGPD y deben ser responsables del tratamiento de datos personales. Además, el artículo 11, apartado 3, del Reglamento 2019/1157 obliga a los Estados miembros a asegurarse de que las autoridades de supervisión puedan ejercer plenamente sus funciones de conformidad con el RGPD, incluyendo, por ejemplo, el acceso a todos los datos personales, así como el acceso a cualquier local o equipo de tratamiento de datos de las autoridades competentes.
117. Del Reglamento 2019/1157 se desprende que el RGPD puede imponer obligaciones a los órganos y autoridades nacionales competentes cuando apliquen el Reglamento 2019/1157. Las instituciones de la Unión y los Gobiernos que se han personado ante el Tribunal de Justicia reconocen ese extremo. Sentado lo anterior, del RGPD no se desprende en modo alguno que la obligación de realizar la evaluación de impacto contemplada en su artículo 35, apartado 1, vincule al legislador de la Unión y esa disposición tampoco establece ningún criterio con respecto al cual, por ejemplo, deba apreciarse la validez de otra norma de Derecho derivado.
118. A la luz de lo anterior, ha de concluirse, por lo tanto, que el artículo 35, apartado 1, del RGPD no se aplica al legislador de la Unión en el contexto de la adopción de una norma de Derecho derivado y que, por esa razón, no puede considerarse que el procedimiento legislativo que dio lugar a la adopción del Reglamento 2019/1157 y, en particular, de su artículo 3, apartado 5, infringiera la exigencia de realizar una evaluación de impacto.
119. De lo anterior resulta que el tercer motivo invocado por el órgano jurisdiccional remitente no debería llevar al Tribunal de Justicia a declarar la invalidez del Reglamento 2019/1157.
120. El examen de la cuestión prejudicial planteada por el órgano jurisdiccional remitente no ha revelado ningún elemento que pueda afectar a la validez del Reglamento 2019/1157 y, en particular, de su artículo 3, apartado 5.
V. Conclusión
121. Habida cuenta de las consideraciones anteriores, propongo al Tribunal de Justicia que responda del modo siguiente a la cuestión prejudicial planteada por el Verwaltungsgericht Wiesbaden (Tribunal de lo Contencioso-Administrativo de Wiesbaden, Alemania):
«El examen de la cuestión prejudicial no ha revelado ningún elemento que pueda afectar a la validez del Reglamento (UE) 2019/1157 del Parlamento Europeo y del Consejo, de 20 de junio de 2019, sobre el refuerzo de la seguridad de los documentos de identidad de los ciudadanos de la Unión y de los documentos de residencia expedidos a ciudadanos de la Unión y a los miembros de sus familias que ejerzan su derecho a la libre circulación y, en particular, de su artículo 3, apartado 5.»